Hôte GS : Procédures des hôtes et des services

Document created by RSA Information Design and Development on Oct 22, 2018
Version 1Show Document
  • View in full screen mode
 

Chaque service requiert un hôte. Après avoir configuré un hôte, vous pouvez attribuer des services vers et depuis cet hôte, vers d'autres hôtes de votre déploiement NetWitness Suite.

                           
Tâche généraleDescription
Configurer un hôte

Effectuez les tâches suivantes dans l'ordre indiqué pour configurer un hôte.

Étape 1. Déployer un hôte.

Étape 2. Installer un service sur un hôte.

Étape 3. Passer en revue les ports SSL pour les connexions approuvées.

Étape 4. Gérer l'accès à un service.

Effectuer la maintenance d'un hôte - notions de base

Les tâches de maintenance suivantes ne sont pas obligatoires et sont affichées par ordre alphabétique.

Effectuer la maintenance d'un hôte à partir de la boîte de dialogue Liste des tâches de l'hôte

Utilisez la boîte de dialogue Liste des tâches de l'hôte pour gérer les tâches liées à un hôte et ses communications avec le réseau. Plusieurs options de configuration de service et d'hôte sont disponibles pour les hôtes Core. 

Effectuer la maintenance d'un service

Les procédures ci-dessous décrivent comment effectuer la maintenance des services.

Étape 1.  Déployer un hôte

  1. Déployer un hôte.
    Vous pouvez déployer un hôte physique (appliance RSA), un hôte virtuel sur site, un hôte virtuel dans AWS ou un hôte virtuel dans Azure. Consultez les guides suivants pour obtenir des instructions sur la façon de déployer des hôtes.
    • Guide de déploiement d'un hôte physique RSA NetWitness® Suite 
    • Guide de déploiement d'un hôte virtuel RSA NetWitness® Suite 
    • Guide de déploiement RSA NetWitness® Suite  AWS
    • Guide de déploiement Azure RSA NetWitness® Suite 
  2. Accédez à Administration > Hôtes.
    La boîte de dialogue Nouveaux hôtes s'affiche avec les hôtes que vous avez déployés.
  3. Sélectionnez l'hôte à activer.
    L'option de menu Activer devient active.
  4. Cliquez sur Activer.
  5. Sélectionnez l'hôte que vous avez activé.
    L'hôte s'affiche dans la vue Hôtes. À ce stade, vous pouvez installer un service sur l'hôte.

Étape 2.  Installer un service sur un hôte

Chaque service se présente comme un plug-in à activer ou désactiver selon la fonction de l'hôte.

Conditions préalables

L'équipement, qui peut être de nature physique ou virtuel, doit être installé : Serveur NetWitness, Broker, Concentrator, Decoder, Log Decoder, Archiver, Warehouse, serveur Malware Analysis ou serveur Event Stream Analysis.

Procédure

Pour ajouter un service à un hôte, effectuez les étapes suivantes :

  1. Dans NetWitness Suite, accédez à ADMIN > Hôtes.
    La vue Hôtes s'affiche.
  2. Sélectionnez l'hôte sur lequel vous souhaitez installer le service (par exemple, Event Stream Analysis).
  3. Dans la barre d'outils, cliquez sur l'icône (Installer).
    La boîte de dialogue Installer les services s'affiche.
  4. Sélectionnez un service à partir de la liste déroulante Type d'hôte (par exemple, ESA primaire).
    Le (bouton de commande Installer) devient actif dans la boîte de dialogue Installer les services.
  5. Cliquez sur (bouton de commande Installer).


Étape 3.  Passer en revue les ports SSL pour les connexions approuvées

Pour prendre en charge les connexions approuvées, chaque service principal possède deux ports : un port non SSL non chiffré et un port SSL chiffré. Les connexions approuvées exigent le port SSL chiffré. 

Condition préalable

Pour établir une connexion approuvée, chaque service NetWitness Suite Core doit être mis à niveau vers la version 10.4 ou ultérieure. Les connexions approuvées ne sont pas rétrocompatibles avec NetWitness Suite Core 10.3.x ou versions antérieures. 

Ports SSL chiffrés

Lorsque vous installez la version 10.4 ou supérieure ou mettez à niveau vers cette version, les connexions approuvées sont établies par défaut avec deux paramètres :

  1. SSL est activé.
  2. Le service Core est connecté à un port SSL chiffré.

Chaque service NetWitness Suite Core dispose de deux ports :

  • Port non SSL non chiffré
    Exemple :  Archiver 50008
  • Port SSL non chiffré
    Exemple :  Archiver 56008

Le port SSL est le port non SSL + 6000.

Le tableau suivant répertorie tous les services NetWitness Suite avec leurs ports respectifs et indique que chaque service Core a deux ports. Tous les numéros de port répertoriés sont des ports TCP.

                                                                                                                     
ServicePort non SSL
non chiffré
Port SSL
chiffré
Remarques
Archiver5000856008

 

Broker5000356003 

Passerelle Cloud

S/oS/o

 

Concentrator5000556005 
Context HubS/o50022

 

Decoder (paquets)5000456004 

Endpoint

N/A

N/A

 

Analytique comportementale de l'entitéS/oS/o 
Event Stream AnalysisS/o50030

 

EnquêterS/oS/oImplémenté avec le Serveur NW.
Log Collector5000156001 
Log Decoder5000256002

 

Malware AnalysisS/o60007 
Reporting EngineS/oS/oImplémenté avec le Serveur NW.

Respond

S/oS/oImplémenté avec le Serveur NW.
Warehouse Connector5002056020

 

Workbench5000756007 

 

 

 

 

 

 

 

Étape 4.  Gérer l'accès à un service

Dans une connexion approuvée, un service fait explicitement confiance à Serveur NW pour gérer et authentifier les utilisateurs. Avec cette confiance, les services dans Admin > Services n'exigent plus la définition d'informations d'identification pour chaque service NetWitness Suite Core. Au lieu de cela, les utilisateurs qui ont été authentifiés par le serveur peuvent accéder au service sans saisir d'autre mot de passe.

Tester une connexion approuvée

CONDITIONS PRÉALABLES

  1. Un rôle doit être attribué à l'utilisateur.
    Pour plus de détails, consultez la section Ajouter un utilisateur et attribuer un rôle dans le Guide de gestion des utilisateurs et de la sécurité du système.
  2. L'utilisateur doit :
    • Se connecter à NetWitness Suite pour être authentifié par le serveur
    • Avoir accès au service

PROCÉDURE

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
    La vue Services s'affiche.

  2. Sélectionnez le service (par exemple, un Concentrator) à tester, puis cliquez sur The Edit icon.
    La boîte de dialogue Modifier le service s'affiche.
    Edit Service dialog
  3. Si vous avez fait une nouvelle installation 11.0.0.0, le port est correct. Aucune action n'est requise dans le champ Port. Passez à l'étape suivante.
    Si vous avez effectué une mise à niveau vers la version 11.0.0.0 ou si vous possédez un environnement mixte de serveur 11.0.0.0 et d'hôtes 10.3, vous devez mettre à jour le Port en désactivant et en activant à nouveau SSL. Ensuite, le numéro de Port passe au port SSL crypté du service.
  4. Supprimez le Nom d'utilisateur pour tester la connexion sans informations d'identification.
  5. Cliquez sur Tester la connexion.
    Edit Service dialog with success message
    Le message Connexion testée avec succès confirme que la connexion fiable est établie.
    Le précédent utilisateur authentifié peut accéder au service sans avoir à saisir un nom d'utilisateur et un mot de passe sur le service. 
  6. Cliquez sur Enregistrer.

Appliquer les mises à jour de version à un hôte

Effectuez les tâches suivantes pour mettre à jour un hôte vers une mise à jour de version.

Deux méthodes permettent d'appliquer les mises à jour de version à un hôte.

Remarque : Si vous avez modifié votre emplacement du référentiel, reportez-vous à la section Configurer un référentiel externe avec RSA et les mises à jour du système d'exploitation pour obtenir des instructions.

Appliquer les mises à jour à partir de la vue Hôtes (Accès Web)

Tâche 1. Renseigner le référentiel local ou Configurer un référentiel externe

Lorsque vous configurez votre serveur NW, vous sélectionnez le référentiel local ou un référentiel externe. La vue Hôtes récupère les mises à jour de version dans le référentiel que vous sélectionnez.

Si vous avez sélectionné le référentiel local, il est inutile de le configurer, mais vous devez vous assurer qu'il est renseigné avec les dernières mises à jour de version. Reportez-vous à la section Renseigner le référentiel Local pour obtenir des instructions sur la façon de le renseigner avec la mise à jour de version.

Remarque : Si vous avez sélectionné un référentiel externe, vous devez le configurer. Reportez-vous à la section Configurer un référentiel externe avec RSA et les mises à jour du système d'exploitation pour obtenir des instructions sur la façon de configurer un référentiel externe.

Tâche 2. Appliquer les mises à jour à chaque hôte à partir de la vue Hôtes

La vue Hôtes affiche les mises à jour de version logicielle disponibles dans votre référentiel de mises à jour local. Vous pouvez choisir d'appliquer les mises à jour que vous souhaitez à partir de cette vue.

Attention : Si vous tentez de mettre à jour des serveurs non NW avec des correctifs 11.0.0.x après la mise à jour du serveur NW vers 11.1, la mise à jour de l'hôte du serveur non NW échouera. Reportez-vous à la section « Mise à jour de <hôte>, » « Erreur lors de la préparation de l'hôte <nom de l'hôte> à mettre à jour vers la version 11.0.0.x. Consultez les logs » dans Hôte GS : Dépannage des installations et mises à jour de version pour plus d'informations.

Cette procédure vous indique comment mettre à jour un hôte vers une nouvelle version de NetWitness Suite. 

Remarque : Cette rubrique utilise NetWitness Suite 11.0.x.x à 11.1.0.0 comme exemple.

  1. Connectez-vous à NetWitness Suite.
  2. Accédez à ADMIN > HÔTES
  3. (Conditionnel) Vérifiez les dernières mises à jour.

  4. Sélectionnez un ou plusieurs hôtes.
    Vous devez d'abord mettre à jour le serveur NW vers la version la plus récente. Vous pouvez mettre à jour les autres hôtes dans n'importe quelle séquence que vous préférez, mais RSA vous recommande de suivre les instructions figurant dans « Fonctionnement en mode Mixte » du Guide de mise en route des hôtes et des services RSA NetWitness Suite pour plus d'informations.
    Mise à jour disponible apparaît dans la colonne État si vous disposez d'une mise à jour de version dans votre référentiel de mises à jour local pour les hôtes sélectionnés.
  5.  Sélectionnez la version que vous souhaitez appliquer à partir de la colonne Mettre à jour la version.

    Si vous :
    • Souhaitez mettre à jour un ou plusieurs hôtes de cette version après la mise à jour de l'hôte du Serveur NW, cochez la case à gauche des hôtes. Seules les versions des mises à jour actuellement prises en charge sont répertoriées.
    • Pour afficher une boîte de dialogue avec les principales caractéristiques de la mise à jour et les informations sur les mises à jour, cliquez sur l'icône d'informations () à droite du numéro de version de mise à jour. La figure suivante donne un exemple de cette boîte de dialogue.
    • Impossible de trouver la version souhaitée, sélectionnez Mettre à jour > Rechercher les mises à jour pour vérifier le référentiel pour les mises à jour disponibles. Si une mise à jour est disponible, le message « Les nouvelles mises à jour sont disponibles » s'affiche et la colonne État se met automatiquement à jour pour afficher les mises à jour disponibles. Par défaut, seules les mises à jour prises en charge par l'hôte sélectionné sont affichées.
  6. Cliquez sur Mettre à jour > Mettre à jour l'hôte dans la barre d'outils.

     Une boîte de dialogue s'affiche avec des informations sur la mise à jour sélectionnée. Cliquez sur Commencer la mise à jour.

    La colonne État vous indique ce qui se passe dans chacune des phases suivantes de la mise à jour :
    • Phase 1 - Téléchargement des packages de mises à jour -Télécharge les artéfacts du référentiel sur le Serveur NW applicable aux services sur l'hôte que vous avez choisi.
    • Phase 2 - Configuration des packages de mise à jour -Configure les fichiers de mise à jour au format approprié.
    • Phase 3 - Mise à jour en cours - Met l'hôte à jour vers la nouvelle version.
  7. Lorsque vous voyez Mise à jour en cours d'exécution, actualisez le navigateur.
    Cela peut vous envoyer vers l'écran de connexion NetWitness. Si cela se produit, connectez-vous et revenez à la vue Hôte.
    Une fois l'hôte mis à jour, NetWitness Suite vous invite à Redémarrer l'hôte.
  8. Cliquez sur Redémarrer l'hôte dans la barre d'outils.
    NetWitness Suiteindique l'état Redémarrage... jusqu'à ce que l'hôte soit de nouveau en ligne. Une fois que l'hôte est de nouveau en ligne, l'État affiche À jour. Contactez le support client si l'hôte ne revient pas en ligne.

Remarque : si vous avez activé DISA STIG, l'ouverture des services de base peut prendre environ 5 à 10 minutes. Ce délai est dû à la génération de nouveaux certificats.

Appliquer les mises à jour à partir de la ligne de commande (sans accès Web)

Si votre déploiement de RSA NetWitness Suite n'a pas d'accès Web, exécutez la procédure suivante pour appliquer une mise à jour de version.

Remarque : Dans la procédure suivante, la version 11.1.0.0 est la version utilisée comme exemple dans les chaînes de code.

  1. Téléchargez le package de mise à jour .zip pour la version souhaitée (par exemple, netwitness-11.1.0.0.zip) à partir de RSA Link vers un répertoire local.
  2. Ouvrez une session SSH sur l'hôte du serveur NW.
  3. Créez un répertoire intermédiaire tmp/upgrade/<version> pour la version que vous souhaitez (par exemple, tmp/upgrade/11.1.0.0).
    mkdir –p /tmp/upgrade/11.1.0.0
  4. Décompressez le package dans le répertoire temporaire que vous avez créé (par exemple, tmp/upgrade/11.1.0.0).
    cd /tmp/upgrade/11.1.0.0
    unzip /tmp/upgrade/11.1.0.0/netwitness-11.1.0.0.zip

  5. Initialisez la mise à jour sur le serveur NW.
    upgrade-cli-client --init --version 11.1.0.0 --stage-dir /tmp/upgrade/
  6. Appliquez la mise à jour au serveur NW.
    upgrade-cli-client --upgrade --host-addr <NW Server IP> --version 11.1.0.0
  7. Connectez-vous à NetWitness Suite et redémarrez l'hôte du Serveur NW dans la vue Hôte.
  8. Appliquez la mise à jour à chaque hôte du serveur NW.
    upgrade-cli-client --upgrade --host-addr <non-NW Server IP address> --version 11.1.0.0
    La mise à jour est terminée lorsque l'interrogation est terminée.
  9. Connectez-vous à NetWitness Suite et redémarrez l'hôte dans la vue Hôte.
    Vous pouvez vérifier la version appliquée à l'hôte avec la commande suivante :
    upgrade-cli-client --list

Renseigner le référentiel de mises à jour local

NetWitness Suite envoie les mises à jour de version dans le référentiel des mises à jour local à partir du référentiel Live Update. L'accès au référentiel de mises à jour Live Update nécessite et utilise les informations d'identification du compte Live configurées sous ADMIN > SYSTÈME > Live. En outre, vous devez cocher la case Automatically download information about new updates every day sous ADMIN > SYSTÈME > Mises à jour pour renseigner le référentiel local tous les jours.

Le schéma suivant illustre le mode d'obtention des mises à jour de version si votre déploiement NetWitness Suite dispose d'un accès au Web.

Remarque : Lorsque vous établissez la connexion initiale avec le référentiel Live Update, vous avez accès à tous les packages du système CentOS 7 et aux packages de production RSA. Ce téléchargement de plus de 2,5 Go de données nécessitera une durée indéterminée en fonction de la connexion Internet de votre serveur NW et du trafic du référentiel RSA. Il n'est pas obligatoire d'utiliser le référentiel Live Update. Vous pouvez également utiliser un référentiel externe, comme décrit dans la section « Configurer un référentiel externe ».

Pour vous connecter au référentiel Live Update, accédez à la vue ADMIN > SYSTÈME, sélectionnez Live dans le panneau d'options et assurez-vous que les informations d'identification sont configurées (le voyant de connexion doit être vert). S'il n'est pas vert, cliquez sur Démarrer la session et connectez-vous.

Remarque : Si vous devez utiliser le serveur proxy pour accéder au référentiel Live Update, vous pouvez configurer l'hôte proxy, le nom d'utilisateur proxy et le mot de passe du proxy. Reportez-vous à la section « Configurer un serveur proxy pourNetWitness Suite » dans le Guide de configuration du système NetWitness Suite 1.1.Accédez à la Table des matières principale de NetWitness Logs & Packets 11.x afin de trouver tous les documents NetWitness Suite 11.x.

Reportez-vous à la section « Appliquer les mises à jour à partir de la ligne de commande » si votre déploiement NetWitness Suite n'a pas accès au Web.

Le schéma suivant illustre le mode d'obtention des mises à jour de version si votre déploiement NetWitness Suite ne dispose pas d'un accès au Web.

Configurer un référentiel externe avec RSA et les mises à jour du système d'exploitation

Remarque : Dans la procédure suivante, la version 11.1.0.0 est la version utilisée comme exemple dans les chaînes de code.

Exécutez la procédure suivante pour configurer un référentiel externe (référentiel).

Remarque : 1.) Pour effectuer cette procédure, un utilitaire de décompression doit être installé sur l'hôte. 2.) Vous devez savoir comment créer un serveur Web avant d'effectuer la procédure suivante.

  1. (Conditionnel) Effectuez cette étape si vous disposez d'un référentiel externe et que vous souhaitez le remplacer.
    • Exemple 1 : Vous avez démarré l'hôte à partir d'un référentiel externe et vous souhaitez effectuer une mise à niveau à l'aide d'un référentiel local sur le serveur Admin.
      1. Créez le fichier /etc/netwitness/platform/repobase.
        vi /etc/platform/netwitness/repobase
      2. Modifiez le fichier repobase de sorte que la seule information dans le fichier est l'URL suivante.
        https://nw-node-zero/nwrpmrepo
      3. Suivez les instructions sur l'exécution de la mise à niveau à l'aide de l'outil upgrade-cli-client .
        Reportez-vous aux instructions.
    • Exemple 2 : Vous avez démarré l'hôte à partir du référentiel local sur le serveur Admin (hôte du serveur NW) et vous souhaitez utiliser un référentiel externe pour la mise à niveau.
      1. Créez le fichier /etc/netwitness/platform/repobase.
        vi /etc/platform/netwitness/repobase
      2. Modifiez le fichier repobase de sorte que la seule information dans le fichier est l'URL suivante.
        https://<webserver-ip>/<alias-for-repo>
      3. Suivez les instructions sur l'exécution de la mise à niveau à l'aide de l'outil upgrade-cli-client.
        Les instructions figurent dans la rubrique « Appliquer les mises à jour à partir de la ligne de commande ».
  2. Configurez le référentiel externe.
    1. Connexion à l'hôte du serveur Web
    2. Créez le répertoire destiné à héberger le référentiel NW (netwitness-11.1.0.0.zip), par exemple ziprepo, sous web-root sur le serveur Web. Par exemple, /var/netwitness est la racine Web, soumettez la chaîne de commande suivante.
      mkdir -p /var/netwitness/<your-zip-file-repo>
    3. Créez le répertoire 11.1.0.0 sous /var/netwitness/<your-zip-file-repo>.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0
    4. Créez les répertoires OS et RSA sous /var/netwitness/<your-zip-file-repo>/11.1.0.0.
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
      mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA
    5. Décompressez le fichier netwitness-11.1.0.0.zip dans le répertoire /var/netwitness/<your-zip-file-repo>/11.1.0.0.
      unzip netwitness-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0
      La décompression de netwitness-11.1.0.0.zip résulte en deux fichiers zip (OS-11.1.0.0.zip et RSA-11.1.0.0.zip) et d'autres fichiers.
    6. Décompressez le fichier :
      1. OS-11.1.0.0.zip dans le répertoire /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS.
        unzip /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
        L'exemple suivant illustre la façon dont la structure de fichiers du système d'exploitation (OS) s'affiche une fois que vous décompressez le fichier.

      1. RSA-11.1.0.0.zip dans le répertoire /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA.
        unzip /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA-11.1.0.0.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/RSA
        L'exemple suivant illustre l'affichage de la structure du fichier de mise à jour de la version de RSA après décompression du fichier.

      L'URL externe pour le référentiel est http://<web server IP address>/<your-zip-file-repo>.

    7. (Conditionnel - Pour Azure) Procédez comme suit pour mettre à jour Azure
    1. mkdir -p /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS/other
    2. unzip nw-azure-11.1-extras.zip -d /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS/other
    3. cd /var/netwitness/<your-zip-file-repo>/11.1.0.0/OS
    4. createrepo .
    1. Utilisez http://<web server IP address>/<your-zip-file-repo> en réponse à l'invite Entrez l'URL de base des référentiels de mises à jour externes émanant du programme d'installation NW 11.1.0.0 (nwsetup-tui).

Créer et gérer des groupes d'hôtes

La vue Hôtes fournit les options permettant de créer et de gérer les groupes d'hôtes. La barre d'outils du panneau Groupes inclut les options de création, de modification et de suppression des groupes d'hôtes. Lorsque les groupes sont créés, vous pouvez faire glisser des hôtes individuels du panneau Hôtes vers un groupe.

Les groupes peuvent refléter de manière utile une logique de fonctions, de géographie, de projets ou d'organisation. Un hôte peut appartenir à plusieurs groupes. Voici quelques exemples de regroupements possibles :

  • Regroupement des différents types d'hôtes pour faciliter la configuration et la surveillance de tous les services Broker, Decoder ou Concentrator.
  • Regroupement des hôtes faisant partie du même flux de données ; par exemple, un service Broker et tous les services Concentrator et Decoder associés.
  • Regroupement des hôtes en fonction de leur région géographique et de leur emplacement au sein de la région. Si une importante panne d'alimentation se produit à un emplacement, les hôtes susceptibles d'être touchés sont facilement identifiables.

Créer un groupe

  1. Sélectionnez Admin > Hôtes.
    La vue Hôtes s'affiche.
  2. Dans la barre d'outils du volet Groupes, cliquez sur The Add icon.
    Le curseur clignote dans le champ du nouveau groupe qui s'ouvre.
    This is an example of a new group field.
  3. Saisissez le nom du nouveau groupe dans le champ (par exemple, Nouveau groupe) et appuyez sur Entrée.
    Le groupe est créé sous forme de dossier dans l'arborescence. Le nombre en regard du groupe indique le nombre d'hôtes contenus dans ce groupe.
    This is an example of a new group.

Modifier le nom d'un groupe

  1. Dans la vue Hôtes, volet Groupes, double-cliquez sur le nom du groupe ou sélectionnez le groupe, puis cliquez sur The Edit icon.
    Le curseur clignote dans le champ du nom qui s'ouvre.
  2. Saisissez le nouveau nom du groupe et appuyez sur Entrée.
    Le champ du nom se ferme et le nouveau nom de groupe s'affiche dans l'arborescence.

Ajouter un hôte à un groupe

Dans la vue Hôtes, panneau Hôtes, sélectionnez un hôte et faites-le glisser vers un dossier de groupe dans le panneau Groupes.
L'hôte est ajouté au groupe.

Afficher les hôtes dans un groupe

Pour afficher les hôtes dans un groupe, cliquez sur le groupe sous le panneau Groupes.
Le panneau Hôtes affiche les hôtes contenus dans ce groupe.

These are the hosts in the All group

Supprimer un hôte d'un groupe 

  1. Dans la vue Hôtes panneau Groupe, sélectionnez le groupe qui contient l'hôte que vous souhaitez supprimer. Les hôtes de ce groupe s'affichent dans le panneau Hôtes.
  2. Dans le panneau Hôtes, sélectionnez un ou plusieurs hôtes que vous souhaitez supprimer du groupe, et dans la barre d'outils, sélectionnez The Delete icon> Supprimer dugroupe.
    Les hôtes sélectionnés sont supprimés du groupe, mais ne sont pas retirés de l'interface utilisateur NetWitness Suite. Le nombre d'hôtes dans le groupe, qui apparaît dans le nom du groupe, diminue en fonction des hôtes retirés du groupe. Le groupe Tous contient les hôtes qui ont été supprimés du groupe.
    Dans l'exemple suivant, le groupe d'hôtes nommé Nouveau groupe ne contient plus d'hôtes, puisque le service figurant dans ce groupe a été supprimé.
    This is an example of the Groups panel

Supprimer un groupe 

  1. Dans la vue Hôtes panneau Groupes, sélectionnez le groupe que vous souhaitez supprimer. 
  2. Cliquez sur The Delete icon.
    Le groupe sélectionné est supprimé du panneau Groupes. Les hôtes qui figuraient dans le groupe ne sont pas supprimés de l'interface utilisateur de NetWitness Suite. Le groupe Tout contient les hôtes du groupe supprimé. 

Rechercher des hôtes

Vous pouvez rechercher des hôtes dans une liste d'hôtes dans la vue Hôtes. La vue Hôtes permet de filtrer rapidement la liste des hôtes par Nom et Hôte. Il est possible d'avoir un grand nombre d'hôtes NetWitness Suite en cours d'utilisation pour différents objectifs. Au lieu de faire défiler la liste d'hôtes, vous pouvez filtrer rapidement la liste d'hôtes pour rechercher les hôtes à administrer.

Dans la vue Services, vous pouvez rechercher un service et trouver rapidement l'hôte qui exécute ce service.

Rechercher un hôte

  1. Sélectionnez ADMIN > Hôtes.
  2. Dans la barre d'outils du panneau Hôtes, saisissez un Nom d'hôte ou Nom d'hôte dans le champ Filtre.
    This is the unfilled Filter field.
    Le panneau Hôtes répertorie les hôtes correspondant aux noms saisis dans le champ Filtre.

Rechercher l'hôte qui exécute un service

  1. Sélectionnez Admin > Services.
  2. Dans la vue Services, sélectionnez un service. L'hôte associé est répertorié dans la colonne Hôte pour ce service.
    This is an example of services with hosts.
  3. Pour administrer l'hôte dans la vue Hôtes, cliquez sur le lien dans la colonne Hôte correspondant à ce service. L'hôte associé au service sélectionné est affiché dans la vue Hôtes.

Exécuter une tâche à partir de la Liste des tâches de l'hôte

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon > Vue > Système.

    Remarque : Les services Admin, Config, Orchestration, Sécurité, Enquêter et Répondre ont accès à la vue Système. Ils ont uniquement accès à la vue Explorer.
    La vue Système du service s'affiche.

    This is an example of the System view for a Broker.

  3. Dans la barre d'outils Vue Système de services, cliquez sur Host Tasks.
    This is an example of the Host Task List dialog.
  4. Dans la Liste des tâches de l'hôte, cliquez dans le champ Tâche pour afficher la liste déroulante des tâches qui s'exécutent sur un hôte.
    This is an example of the Task drop-down menu in the Host Task List dialog.
  5. Sélectionnez une tâche. Par exemple, cliquez sur Arrêter le service.
    La tâche s'affiche dans le champ Tâche. La description des tâches, les exemples d'arguments, les rôles de sécurité et les paramètres s'affichent dans la zone Info.
    This is an example of the Host Task List dialog with Stop Service selected.
  6. Saisissez des arguments si nécessaire, puis cliquez sur Exécuter.
    La commande s'exécute et le résultat s'affiche dans la zone Sortie.

Ajouter et Supprimer le moniteur du système de fichiers

Lorsque vous souhaitez qu'un service surveille le trafic sur un système de fichiers spécifique, vous pouvez sélectionner le service, puis spécifier le chemin. Security Analytics ajoute une surveillance du système de fichiers. Une fois qu'une surveillance du système de fichiers est ajoutée à un service, le service continue à surveiller le trafic sur ce chemin jusqu'à ce que la surveillance du système de fichier soit supprimée.

Configurer la surveillance d'un système de fichiers

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon > Vue > Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches de l'hôte, sélectionnez Ajouter le moniteur du système de fichiers.
    Dans la zone Info, une brève explication de la tâche et des arguments de la tâche s'affiche.
  5. Pour identifier le système de fichiers à surveiller, saisissez le chemin dans le champ Arguments. Par exemple :
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List for this procedure.
  6. Cliquez sur Exécuter.
    Le résultat s'affiche dans la zone Sortie. Le service commence à surveiller le système de fichiers et continue à le faire jusqu'à ce que vous supprimiez la surveillance du système de fichiers.

Supprimer le moniteur du système de fichiers

  1. Accédez à la boîte de dialogue Liste des tâches de l'hôte.
  2. Dans la Liste des tâches de l'hôte, sélectionnez Supprimer le moniteur du système de fichiers.
    Dans la zone Info, une brève explication de la tâche et des arguments de la tâche s'affiche.
  3. Pour cesser de surveiller le système de fichiers, saisissez le chemin dans le champ Arguments. Par exemple :
    path=/var/netwitness/decoder/packetdb
    This is an example of the Host Task List dialog for this procedure.
  4. Cliquez sur Exécuter.
    Le résultat s'affiche dans la zone Sortie. Le service arrête la surveillance du système de fichiers.

Redémarrer un hôte

Sous certaines conditions, il est nécessaire de redémarrer un hôte ; par exemple, après l'installation d'une mise à niveau logicielle. Cette procédure utilise un message de la liste des tâches de l'hôte pour arrêter et redémarrer un hôte. 

Security Analytics offre également d'autres options pour arrêter un hôte :

  • Pour arrêter et redémarrer un hôte via un service rattaché, accédez à la vue Hôtes à partir d'un service dans la vue Services (consultez Rechercher des hôtes), puis suivez la procédure Arrêter et redémarrer un hôte à partir de la vue Hôtes ci-dessous.
  • Pour arrêter l'hôte physique sans redémarrer, consultez Arrêter l'hôte.

Arrêter et redémarrer un hôte à partir de la vue Hôtes

  1. Sélectionnez ADMIN > Hôtes.
  2. Dans le panneau Hôtes, sélectionnez un hôte.
  3. Sélectionnez The Reboot Host icon dans la barre d'outils.

Arrêter et redémarrer un Hôte à partir de la Liste des tâches de l'hôte

  1. Sélectionnez Admin > Services.
  2. Dans le panneau Services, sélectionnez un service et The Actions icon> Vue > Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches de l'hôte, sélectionnez Redémarrer l'hôte dans le champ Tâche 
    .Aucun argument n'est requis.
    This is an example of the Host Task List dialog
  5. Cliquez sur Exécuter.
    L'hôte est redémarré et le résultat s'affiche dans la zone Sortie.

Paramétrer l'heure prédéfinie de l'hôte

Après un arrêt ou une panne de batterie, il peut être nécessaire de régler l'horloge locale d'un hôte. La tâche Paramétrer l'heure prédéfinie de l'hôte réinitialise l'heure de l'horloge.

Définir l'heure sur l'horloge locale

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon> Vue > Système
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches de l'hôte, sélectionnez Paramétrer l'heure prédéfinie de l'hôte. L'aide associée à la tâche est affichée dans la zone Infos.
  5. Saisissez les arguments de date et d'heure dans le champ Arguments. Par exemple, pour spécifier 31 octobre 2017 à 23:59:59, saisissez :
    set=20171031T235959
    This is an example of the Host Task List dialog for the procedure
  6. Cliquez sur Exécuter.
    L'horloge est définie sur l'heure spécifiée et un message s'affiche dans la zone Sortie.

Définir la configuration réseau

Lorsqu'un hôte Core configuré doit changer d'adresse, vous pouvez définir une nouvelle adresse réseau, le masque de sous-réseau et la passerelle de l'hôte en utilisant le message Définir la configuration réseau dans la Liste des tâches de l'hôte

Attention : Le changement prend effet immédiatement, et l'hôte est déconnecté de Security Analytics. Vous devez ensuite ajouter l'hôte à Security Analytics à nouveau à l'aide de la nouvelle adresse réseau.

Indiquer l'adresse réseau d'un hôte

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon > Vue Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches de l'hôte, cliquez sur Définir la configuration réseau.
    Cette tâche s'affiche dans le champ Tâche, et l'aide s'affiche dans la zone Info.
  5. Saisissez les arguments dans le champ Arguments. Par exemple :
    mode=static address=192.168.0.20 netmask=255.255.255.0 gateway=192.168.0.1
    This is an example of the Host Task List dialog for this procedure
  6. Cliquez sur Exécuter
    .La tâche s'exécute et le résultat s'affiche dans la zone Sortie. L'hôte est déconnecté de Security Analytics. Vous devez ajouter à nouveau l'hôte avec la nouvelle adresse.

Remarque : Si vous choisissez le mode DHCP, il sera impossible de déterminer la nouvelle adresse. Il peut être nécessaire de se connecter à l'hôte directement pour déterminer la nouvelle adresse.

Définir la source de l'heure réseau

Lorsque vous définissez la source d'horloge d'un hôte, définissez le nom d'hôte ou l'adresse d'un serveur NTP comme la source d'horloge réseau de l'hôte. Si l'hôte utilise une source d'horloge locale, vous devez spécifier locale ici pour que l'option Définir la source d'horloge locale devienne effective.

Spécifier la source de l'horloge réseau

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions menu > Vue > Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches de l'hôte, sélectionnez Définir la source de l'heure réseau.
    This is an example of the Host Task List dialog for this procedure.
  5. Exécutez l'une des opérations suivantes :
  • Saisissez le nom d'hôte ou l'adresse du serveur NTP qui servira de source d'horloge à cet hôte, par exemple : source=tictoc.localdomain
  • Pour utiliser l'horloge hôte comme source d'horloge, saisissez :
    source=local
  1. Cliquez sur Exécuter.
    La source d'horloge est définie et un message s'affiche dans la zone Sortie.

Remarque : Si vous avez spécifié une source d'horloge NTP locale, l'horloge hôte sert de source d'horloge et l'heure est configurée à l'aide de Paramétrer l'heure prédéfinie de l'hôte.

Configurer SNMP

Dans la liste des tâches de l'hôte, l'option Configurer SNMP active ou désactive le service SNMP sur l'hôte. Pour qu'un hôte reçoive des notifications SNMP, le service SNMP doit être activé. Si vous n'utilisez pas SNMP pour les notifications NetWitness Suite, il n'est pas nécessaire d'activer le service.

Basculer le service SNMP sur l'hôte

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon > Vue > Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches de l'hôte, sélectionnez setSNMP.
    Dans la zone Info, une brève explication de la tâche et des arguments de la tâche s'affiche.
  5. Exécutez l'une des opérations suivantes :
  • Pour désactiver le service, saisissez enable=0 dans le champ Arguments.
    This is an example of the Host Task List dialog for this option.
  • Pour activer le service, saisissez enable=1 dans le champ Arguments.
    This is an example of the Host Task List dialog for this option.
  1. Cliquez sur Exécuter.
    Le résultat s'affiche dans la zone Sortie.

Définir le transfert Syslog

Vous pouvez configurer le transfert Syslog pour envoyer les logs du système d'exploitation de vos hôtes NetWitness Suite à un serveur syslog distant. Pour cela, vous pouvez utiliser la tâche Définir le transfert Syslog de la liste des tâches de l'hôte pour activer ou désactiver le transfert syslog.

Définir et lancer un transfert syslog

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon > Vue > Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la liste des tâches de l'hôte, sélectionnez Définir le transfert Syslog.
    Dans la zone Info, une brève explication de la tâche et des arguments de la tâche s'affiche.
    This is an example of the the Host Task List dialog for this procedure.
  5. Dans le champ Arguments, procédez de l'une des façons suivantes :
    • Pour activer le transfert syslog, utilisez l'un des formats suivants :
      • host=<hôte log>.<domaine local> (par exemple, host=syslogserver.local).
      • host=<hôte log>.<domaine local>:<port> (par exemple, host=syslogserver.local:514).
      • host=<IP> (par exemple, host=10.31.244.244).
      • host=<IP>:<port> (par exemple, host=10.31.244.244:514).
        Le tableau suivant répertorie les paramètres utilisés pour activer le transfert syslog et en fournit une description.
        ParamètreDescription
        hôte logNom d'hôte du serveur syslog distant.
        domaine localDomaine du serveur syslog distant.
        portAdresse IP du serveur syslog distant.
        IPNuméro de port sur lequel le serveur syslog reçoit les messages syslog.
    • Pour désactiver le transfert syslog, saisissez host=disable.
  6. Cliquez sur Exécuter.
    Le résultat s'affiche dans la zone Sortie.

Une fois le transfert syslog activé ou désactivé, le fichier /etc/rsyslog.conf est automatiquement mis à jour de façon à activer ou désactiver un tel transfert vers la destination syslog distante, puis le service syslog est redémarré.

Si vous activez le transfert syslog, les logs du service configuré sont transmis au serveur syslog défini et le transfert se poursuit jusqu'à ce qu'il soit désactivé.

Remarque : Vous pouvez ensuite vous connecter au serveur syslog distant et vérifier si les messages reçus proviennent bien des services NetWitness Suite configurés pour le transfert syslog.

Afficher l'état du port réseau

Dans la liste des tâches de l'hôte, la tâche Afficher l'état du port réseau indique l'état de tous les ports configurés sur l'hôte.

Afficher l'état du port réseau

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et  The Actions icon> Vue>Système.
    La vue Système pour le service sélectionné s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches des hôtes, cliquez sur Afficher l'état du port réseau
    .Cette tâche s'affiche dans le champ Tâche, et des informations sur la tâche s'affichent dans la zone Info.
  5. Pour exécuter la tâche, cliquez sur Exécuter.
    L'état de chaque port sur l'hôte s'affiche dans la zone Sortie.
    This is an example of the Host Task List dialog for this procedure.

Afficher le numéro de série

La tâche Afficher le numéro de série de la Liste des tâches de l'hôte permet d'obtenir le numéro de série d'un hôte.

Afficher le numéro de série

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon> Vue>Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la Liste des tâches de l'hôte, sélectionnez Afficher le numéro de série
    .Dans la zone Info, une brève explication de la tâche et des arguments de la tâche s'affiche.
  5. Aucun argument n'est requis pour cette tâche. Cliquez sur Exécuter.
    Le numéro de série de l'hôte sélectionné s'affiche dans la zone Sortie.
    This is an example of the Host Task List dialog for this procedure.

Arrêter l'hôte

Dans certaines circonstances, par exemple lors d'une mise à niveau matérielle ou d'une coupure de courant prolongée dépassant la capacité électrique de secours, il peut être nécessaire d'arrêter un hôte physique. Lorsque vous arrêtez un hôte, tous les services exécutés sur cet hôte sont arrêtés et l'hôte physique s'éteint.

L'hôte physique ne redémarre pas automatiquement. et l'interrupteur électrique doit être utilisé pour le redémarrer. Une fois l'hôte physique redémarré, l'hôte et les services sont configurés pour redémarrer automatiquement.

Redémarrer un hôte pour démarrer et stopper un hôte sans l'arrêter complètement.

Arrêter l'hôte

  1. Dans la boîte de dialogue Liste des tâches de l'hôte, sélectionnez Arrêter l'hôte dans le champ Tâche.
    This is an example of the Host Task List dialog for this procedure.
  2. Pour exécuter la tâche, cliquez sur Exécuter.
    L'hôte s'arrête et il s'éteint. 

Arrêter et démarrer un service sur un hôte

La liste des tâches de l'hôte comporte deux options pour arrêter et démarrer un service sur un hôte. Lorsque vous arrêtez un service à l'aide du message Arrêter le service, tous les processus s'y rapportant sont arrêtés et les utilisateurs connectés au service sont déconnectés. À moins d'un problème avec le service, il redémarre automatiquement. Il en va de même avec l'option Arrêter le service de la vue Système de services.

Si un service ne redémarre pas automatiquement après son arrêt, vous pouvez le redémarrer manuellement à l'aide du message Démarrer le service.

Arrêter un service sur un hôte

  1. Sélectionnez Admin > Services.
  2. Dans la grille Services, sélectionnez un service et The Actions icon> Vue> Système.
    La vue Système du service s'affiche.
  3. Dans la barre d'outils Vue Système de services, cliquez sur Tâches de l'hôte.
  4. Dans la liste des tâches de l'hôte, cliquez sur Arrêter le service.
    Cette tâche s'affiche dans le champ Tâche, et des informations sur la tâche s'affichent dans la zone Info.
  5. Dans le champ Arguments, spécifiez le service (decoder, concentrator, broker, logdecoder, logcollector) à arrêter. Par exemple, service=decoder.
    This is an example of the Host Task List dialog for this procedure.
  6. Pour exécuter la tâche, cliquez sur Exécuter.
    Le service s'arrête et l'état s'affiche dans la zone Sortie. Tous les processus du service sont arrêtés et les utilisateurs connectés au service en sont déconnectés. À moins d'un problème avec le service, il redémarre automatiquement.

Démarrer un service sur un hôte

  1. Dans la liste déroulante Liste des tâches de l'hôte, sélectionnez Démarrer le service dans le menu déroulant Tâche.
    Cette tâche s'affiche dans le champ Tâche, et des informations sur la tâche s'affichent dans la zone Info.
  2. Dans le champ Arguments, spécifiez le service (decoder, concentrator, broker, logdecoder, logcollector) à démarrer. Par exemple,
    service=decoder
    This is an example of the Host Task List dialog for this procedure.
  3. Pour exécuter la tâche, cliquez sur Exécuter.
    Le service démarre et son état s'affiche dans la zone Sortie.

Ajouter, répliquer ou supprimer un utilisateur de service

Vous devez ajouter un utilisateur à un service pour :

  • Agrégation
  • Accéder au service avec le :
    • client Thick
    • API REST

Remarque : Cette rubrique ne s'applique pas aux utilisateurs qui accèdent aux services via l'interface utilisateur sur Serveur NetWitness. Vous devez ajouter ces utilisateurs au système et non au service. Pour plus d'informations, consultez la section Configuration d'un utilisateur dans Sécurité du système et gestion des utilisateurs.

Pour chaque utilisateur du service, vous pouvez effectuer les opérations suivantes :

  • Configurer les propriétés d'authentification utilisateur et les propriétés de gestion des requêtes pour le service.
  • Attribuer un rôle de membre à l'utilisateur pour qu'il dispose des autorisations appropriées
  • Répliquer le compte utilisateur sur d'autres services
  • Changer le mot de passe utilisateur sur les services sélectionnés

La rubrique Changer le mot de passe d'un utilisateur de service fournit les instructions permettant de modifier le mot de passe utilisateur dans les différents services.

Éléments à prendre en compte en matière de réplication et migration

Lors de la réplication d'un utilisateur à partir d'un service NetWitness Suite 10.5 ou ultérieur vers un service NetWitness Suite 10.4, Délai d'expiration de la requête migre vers Niveau de requête selon le niveau le plus proche. Par exemple, si un utilisateur obtient un Délai d'expiration de la requête de 15 minutes, son Niveau de requête sera de 3 après la migration. Si un utilisateur obtient un Délai d'expiration de la requête de 35 minutes, son Niveau de requête sera de 2 après la migration. Si un utilisateur obtient un Délai d'expiration de la requête de 45 minutes, son Niveau de requête sera de 2 après la migration.

Lors de la migration ou réplication d'un utilisateur à partir d'un service NetWitness Suite 10.4 vers un service NetWitness Suite 10.5 ou version supérieure, le Niveau de requête migre vers le Délai d'expiration de la requête selon les définitions suivantes :

  • Niveau de requête 1 = 60 minutes
  • Niveau de requête 2 = 40 minutes
  • Niveau de requête 3 = 20 minutes

Procédures

ACCÉDER À LA VUE SÉCURITÉ

Chacune des procédures suivantes débute dans la vue Sécurité des services.

Pour accéder à la vue Sécurité des services :

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
  2. Sélectionnez un service, puis cliquez sur The Actions drop-down menu > Vue > Sécurité.
    La vue Sécurité du service sélectionné s'affiche avec l'onglet Utilisateurs ouvert.
    This is an example of a Concentrator Security view.

Remarque : Pour NetWitness Suite 10.4 et les versions de service antérieures, dans la section Paramètres utilisateur, le champ Niveau de requête s'affiche à la place de Expiration du délai de requête Core.

AJOUTER UN UTILISATEUR DE SERVICE

  1. Dans l'onglet Utilisateurs, cliquez sur The Add icon.
  2. Saisissez le nom d'utilisateur pour accéder au service, puis appuyez sur Entrée.
    La section Informations utilisateur affiche le nom d'utilisateur. Vous pouvez modifier le reste des champs.
  3. Saisissez le mot de passe pour la connexion au service, dans les champs Mot de passe et Confirmer le mot de passe.
  4. (Facultatif) Fournissez des informations complémentaires :
  • Nom pour la connexion à NetWitness Suite
  • Adresse e-mail
  • Description de l'utilisateur
  1. Dans la section Paramètres utilisateur, procédez comme suit : 
  • Type d'authentification
    • Si NetWitness Suite authentifie l'utilisateur, sélectionnez NetWitness.
    • Si Active Directory ou le module PAM est configuré sur le serveur Serveur NetWitness pour authentifier l'utilisateur, sélectionnez Externe.

Remarque : Dans les versions 10.4 et ultérieures, les connexions fiables rendent inutile la configuration des comptes utilisateur externes sur le service. Toute la configuration externe est centralisée sur Serveur NetWitness. 

  • Expiration du délai de requête Core est le nombre maximal de minutes qu'un utilisateur peut utiliser pour exécuter une requête sur le service. Ce champ s'applique à NetWitness Suite 10.5 et versions de service supérieures et il ne s'affiche pas pour 10.4 et versions antérieures.
  1. (Facultatif) Spécifier des critères de requête :
  • Le Préfixe de requête permet de filtrer les requêtes. Saisissez un préfixe pour restreindre les résultats visibles par l'utilisateur.
  • Le Seuil de sessions contrôle la façon dont le service analyse les métavaleurs pour déterminer le décompte des sessions. Toute métavaleur avec un nombre de sessions supérieur au seuil établi arrête sa détermination du véritable nombre de sessions.
  1. Dans la section Adhésion aux rôles, sélectionnez chaque rôle à attribuer à l'utilisateur. Si un utilisateur est membre d'un rôle sur un service, il bénéficiera des autorisations attribuées au rôle.
  2. Pour activer le nouvel utilisateur du service, cliquez sur Appliquer.

L'utilisateur est ajouté au service immédiatement.

RÉPLIQUER UN UTILISATEUR À D'AUTRES SERVICES

  1. Sous l'onglet Utilisateurs, sélectionnez un utilisateur, puis The Action drop-down menu > Répliquer.
    La boîte de dialogue Répliquer l'utilisateur sur les autres services s'affiche.
    This is an example of the Replicate User to Other Services dialog
  2. Saisissez le mot de passe de l'utilisateur, puis confirmez-le.
  3. Sélectionnez chaque service auquel vous répliquez l'utilisateur.
  4. Cliquez sur Répliquer.

Le compte utilisateur est ajouté à chaque service sélectionné.

SUPPRIMER UN UTILISATEUR DE SERVICE

  1. Sous l'onglet Utilisateurs, sélectionnez le Nom d'utilisateur et cliquez sur The delete icon.
    NetWitness Suite demande de confirmer que vous souhaitez supprimer l'utilisateur sélectionné.
  2. Pour confirmer, cliquez sur Oui.

L'utilisateur est supprimé du service immédiatement.

Ajouter un Rôle d'utilisateur de service

Dans NetWitness Suite, il existe des rôles préconfigurés qui sont installés sur le serveur et sur chaque service. Vous pouvez également ajouter des rôles personnalisés. Le tableau suivant répertorie les rôles système préconfigurés ainsi que les autorisations qui leur sont associées.

                                   
RôleAutorisation
AdministrateursAccès complet au système
OpérateursAccès aux configurations, mais pas au contenu méta ni de session
AnalystesAccès au contenu méta et de session mais pas aux configurations
SOC_Managers (Responsables de SOC)Même accès que les Analystes avec des autorisations supplémentaires pour gérer les incidents
Malware_Analysts (Analystes du malware)Accès aux événements de malware et au contenu méta et de sessions
Data_Privacy_Officers (Responsables de la confidentialité des données)Accès au contenu méta et de session ainsi qu'aux options de configuration qui gèrent l'obscurcissement et l'affichage des données sensibles dans le système (voir Gestion de la confidentialité des données).

Vous devez ajouter un rôle de service si vous avez ajouté l'un des éléments suivants :

  • Utilisateurs ou utilisateur du Service qui requièrent un nouvel ensemble d'autorisations.
  • Rôle personnalisé sur Serveur NetWitness car les connexions approuvées requièrent que le même rôle personnalisé existe à la fois sur le serveur et sur chaque service auquel aura accès le rôle personnalisé. Les noms doivent être identiques. Par exemple, si vous ajoutez un rôle Junior Analysts au serveur, vous devez ajouter un rôle Junior Analysts sur chaque service auquel le rôle accédera. Pour plus d'informations, consultez la section Ajouter un rôle et attribuer des autorisations dans Sécurité du système et gestion des utilisateurs.

Il existe également un rôle de service préconfiguré intitulé Agrégation. Le rôle Agrégation et les rôles et autorisations d'utilisateurs de service fournissent des informations complémentaires.

Procédure

Pour ajouter un rôle d'utilisateur de service et y associer des autorisations :

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
  2. Sélectionnez un service, puis The Actions drop-down menu > Vue > Sécurité.
    La vue Sécurité du service sélectionné s'affiche avec l'onglet Utilisateurs ouvert.
  3. Sélectionnez l'onglet Rôles et cliquez sur The Add icon.
    La vue Sécurité des services qui s'affiche indique les cinq rôles préconfigurés. 
    This is an example of the Roles tab.
  4. Cliquez sur The add icon, saisissez le nom du rôle et appuyez sur la touche Entrée.
    Le nom du rôle s'affiche au-dessus de la liste Autorisations du rôle.
  5. Sélectionnez chacune des autorisations dont disposera le rôle sur le service. 
  6. Cliquez sur Appliquer.

Le rôle est ajouté au service immédiatement. Vous pouvez y ajouter des utilisateurs de services sous l'onglet Utilisateurs.

Changer le mot de passe d'un utilisateur de service

Cette procédure permet aux administrateurs de modifier le mot de passe d'un utilisateur de service et de répliquer le nouveau mot de passe sur tous les services principaux pour lesquels ce compte utilisateur est défini. Seule la modification du mot de passe est répliquée sur les services principaux sélectionnés. Le compte utilisateur intégral n'est pas répliqué. Les administrateurs peuvent également modifier le mot de passe du compte admin sur les services principaux.

Remarque : L'option Changer le mot de passe ne s'applique pas aux utilisateurs externes.

Pour modifier le mot de passe d'un utilisateur de service :

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
    La vue Services d'administration s'affiche.
  2. Sélectionnez un service, puis cliquez sur The actions drop-down menu > Vue > Sécurité.
    La vue Sécurité s'affiche pour les services sélectionnés.
  3. Sous l'onglet Utilisateurs, sélectionnez un utilisateur et cliquez sur Changer le mot de passe à partir de l'icône Actions.
    La boîte de dialogue Changer le mot de passe s'affiche.
    This is an example of the Change Password dialog.
  4. Saisissez un nouveau mot de passe pour l'utilisateur et confirmez ce mot de passe.
  5. Sélectionnez les services pour lesquels vous souhaitez modifier le mot de passe. 
  6. Cliquez sur Changer le mot de passe.
    L'état de modification du mot de passe sur les services sélectionnés s'affiche.

Créer et gérer des groupes de services

La vue Administration - Services fournit les options permettant de créer et de gérer les groupes de services. Le panneau Services inclut les options de création, de modification et de suppression des groupes de services. Lorsque les groupes sont créés, vous pouvez faire glisser des services individuels du panneau Services vers un groupe.

Les groupes peuvent refléter de manière utile une logique de fonctions, de géographie, de projets ou d'organisation. Un service peut appartenir à plusieurs groupes. Voici quelques exemples de regroupements possibles.

  • Regroupement des différents types de services pour faciliter la configuration et la surveillance de tous les services Broker, Decoder ou Concentrator.
  • Regroupement des services faisant partie du même flux de données ; par exemple, un service Broker et tous les services Concentrator et Decoder associés.
  • Regroupement des services en fonction de leur région géographique et de leur emplacement au sein de la région. Si une importante panne d'alimentation se produit à un emplacement, les services susceptibles d'être touchés sont facilement identifiables.

Créer un groupe

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
    La vue Services d'administration s'affiche.
  2. Dans la barre d'outils du volet Groupes, cliquez sur The Add icon.
    Le curseur clignote dans le champ du nouveau groupe qui s'ouvre.
    This is the Groups panel with a new, unnamed group
  3. Saisissez le nom du nouveau groupe dans le champ (par exemple, Nouveau groupe) et appuyez sur Entrée.
    Le groupe est créé sous forme de dossier dans l'arborescence. Le nombre en regard du groupe indique le nombre de services contenus dans ce groupe.
    This is the Groups panel with the new group added

Modifier le nom d'un groupe

  1. Dans la vue Services, volet Groupes, double-cliquez sur le nom du groupe ou sélectionnez le groupe, puis cliquez sur The edit icon. Le curseur clignote dans le champ du nom qui s'ouvre.
  2. Saisissez le nouveau nom du groupe et appuyez sur Entrée.
    Le champ du nom se ferme et le nouveau nom de groupe s'affiche dans l'arborescence.

Ajouter un service à un groupe

Dans la vue Services, panneau Services, sélectionnez un service et faites-le glisser vers un dossier de groupe dans le panneau Groupes, par exemple Log Collectors.
Le service est ajouté au groupe.

Afficher les services dans un groupe

Pour afficher les services dans un groupe, cliquez sur le groupe sous le panneau Groupes.

Le panneau Services affiche les services contenus dans ce groupe.

Supprimer un service d'un groupe 

  1. Dans la vue Services panneau Groupe, sélectionnez le groupe qui contient le service que vous souhaitez supprimer. Les services de ce groupe s'affichent dans le panneau Services.
  2. Dans le panneau Services, sélectionnez un ou plusieurs services que vous souhaitez supprimer du groupe, et dans la barre d'outils, sélectionnez The Delete icon> Supprimer du groupe.
    Les services sélectionnés sont supprimés du groupe, mais ne sont pas retirés de l'interface utilisateur NetWitness Suite. Le nombre de services dans le groupe, qui apparaît dans le nom du groupe, se réduit en fonction des services retirés du groupe. Le groupe Tous contient les services qui ont été supprimés du groupe.
    Dans l'exemple suivant, le groupe de services nommé Nouveau groupe ne contient plus de services, puisque le service figurant dans ce groupe a été supprimé.
    This is an example of a group without services

Supprimer un groupe

  1. Dans la vue Services panneau Groupes, sélectionnez le groupe que vous souhaitez supprimer. 
  2. Cliquez sur The delete icon.
    Le groupe sélectionné est supprimé du panneau Groupes. Les services qui figuraient dans le groupe ne sont pas supprimés de l'interface utilisateur de NetWitness Suite. Le groupe Tout contient les hôtes du groupe supprimé.

Dupliquer ou répliquer un rôle de service

Un moyen efficace d'ajouter un nouveau rôle de service est de dupliquer un rôle similaire, de l'enregistrer sous un nouveau nom et de réviser les autorisations qui sont déjà attribuées. Par exemple, vous pouvez dupliquer le rôle des analystes. Puis l'enregistrer comme JuniorAnalysts et modifier les autorisations.

Répliquer un rôle est un moyen rapide d'ajouter un rôle existant à d'autres services. Par exemple, vous pouvez répliquer le rôle des JuniorAnalysts qui existe sur un Broker vers un Concentrator et un Log Decoder.

Chacune des procédures suivantes débute dans la vue Sécurité des services.

Pour accéder à la vue Sécurité des services :

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
  2. Sélectionnez un service, puis cliquez sur The Actions icon > Vue > Sécurité.
    La vue Sécurité du service sélectionné s'affiche avec l'onglet Utilisateurs ouvert.
  3. Sélectionnez l'onglet Rôles.

Dupliquer un rôle de service

  1. Sous l'onglet Rôles, sélectionnez le rôle que vous voulez dupliquer.
    This is an example of the Roles tab.
  2. Cliquez sur The Duplicate icon to Dupliquer le rôle.
  3. Saisissez un nom et cliquez sur Appliquer.
  4. Sélectionnez le nouveau rôle.
  5. Dans la section Autorisations du rôle, sélectionnez ou désélectionnez des autorisations pour modifier ce que le nouveau rôle peut faire.

Le rôle dupliqué est ajouté au service immédiatement.

Répliquer un rôle

  1. Sous l'onglet Rôles, sélectionnez le rôle que vous voulez répliquer et cliquez sur Répliquer.
  2. Dans la boîte de dialogue Répliquer le rôle sur les autres services, sélectionnez chaque service sur lequel vous souhaitez ajouter le rôle.
  3. Cliquez sur Répliquer.

Le rôle répliqué est ajouté à chaque service sélectionné immédiatement.

Modifier les fichiers de configuration de service Core

Les fichiers de configuration des services --Decoder, Log Decoder, Broker, Concentrator, Archiver et Workbench-- sont modifiables au format de fichier texte. La vue Configuration des services > onglet Fichiers vous permet d'effectuer les opérations suivantes :

  • Afficher et modifier un fichier de configuration de service en cours d'utilisation par le système NetWitness Suite.
  • Récupérer et restaurer la dernière sauvegarde du fichier que vous modifiez.
  • Transmettre le fichier ouvert aux autres services.
  • Enregistrer les modifications effectuées dans un fichier.

Les fichiers qu'il est possible de modifier dépendent du type de service en cours de configuration. Les fichiers communs à tous les services Core sont les suivants :

  • le fichier d'index du service ;
  • le fichier NetWitness ;
  • le fichier du rapporteur d'incidents ;
  • le fichier du planificateur. 

De plus, le Decoder dispose de fichiers qui permettent de configurer les parsers et les définitions de feed. Il dispose également d'un adaptateur de réseau local sans fil. 

Remarque : Les valeurs par défaut de ces fichiers de configuration sont généralement adaptées aux situations les plus courantes. Toutefois, il est nécessaire de les modifier en partie pour les services facultatifs, comme le rapporteur d'incidents ou le planificateur. Seuls les administrateurs disposant d'une bonne compréhension des réseaux et des facteurs qui affectent la façon dont les services collectent et analysent les données devraient apporter des modifications à ces fichiers sous l'onglet Fichiers.

Pour plus de détails sur les paramètres de configuration des services, reportez-vous à la rubrique Paramètres de configuration des services.

Modifier un fichier de configuration de service

Pour modifier un fichier :

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
  2. Dans la grille Services, sélectionnez un service.
  3. Sélectionnez The actions drop-down menu > Vue > Config.
    La vue Configuration des services s'ouvre sur l'onglet Général.
  4. Cliquez sur l'onglet Fichiers.
    Le service sélectionné tel que Concentrator apparaît dans la liste déroulante à droite de l'écran.
  5. (Facultatif) Pour modifier un fichier relatif à l'hôte au lieu du service, sélectionnez Hôte dans la liste déroulante.
  6. Choisissez un fichier dans la liste déroulante Sélectionnez un fichier à modifier.
    Le contenu du fichier s'affiche en mode modification.
    Editable Files tab in Config view
  7. Modifiez le fichier et cliquez sur Appliquer.

Le fichier actuel est remplacé et un fichier de sauvegarde est créé. Les modifications prennent effet après le redémarrage du service.

Restaurer la version de sauvegarde d'un fichier de configuration de service

Après avoir effectué les modifications dans un fichier de configuration, enregistrez-le, puis redémarrez le service. Un fichier de sauvegarde devient alors disponible. Pour restaurer la sauvegarde d'un fichier de configuration : 

  1. Sélectionnez un fichier de configuration en suivant les étapes 1 à 6 de la procédure Modifier les fichiers de configuration de service au début de cette rubrique.
  2. Cliquez sur Get Backup.
    Le fichier de sauvegarde s'ouvre dans l'éditeur de texte.
  3. Pour restaurer la version de sauvegarde, cliquez sur Enregistrer.

Les modifications prennent effet après le redémarrage du service.

Transmettre un fichier de configuration à d'autres services.

Une fois que vous avez modifié un fichier de configuration de service, vous pouvez transmettre la même configuration à d'autres services du même type. 

  1. Sélectionnez un fichier de configuration en suivant les étapes 1 à 6 de la procédure Modifier un fichier de configuration de service au début de cette rubrique.
  2. Cliquez sur The Push icon. La boîte de dialogue Sélectionner des services s'affiche.
  3. Sélectionnez les services pour lesquels le fichier de configuration doit être appliqué.
    Chaque service doit être du même type que celui sélectionné dans la vue Services.

    Attention : Si vous décidez de ne pas transmettre le fichier de configuration, cliquez sur Annuler.

  4. Pour appliquer le fichier de configuration à tous les services, cliquez sur OK.

Le fichier de configuration est transmis à tous les services sélectionnés. 

CONFIGURER LE PLANIFICATEUR DE TÂCHES

Fichier du planificateur

Vous pouvez modifier le fichier du planificateur qui se trouve dans la vue Configuration des services > onglet Fichiers. Ce fichier configure le planificateur de tâche intégré pour un service. Le planificateur de tâche peut automatiquement envoyer des messages à des intervalles prédéfinis ou à des heures spécifiques de la journée.

Syntaxe de tâches du planificateur

Une ligne de tâche dans le fichier du planificateur se compose de la syntaxe suivante, où <Value> ne comporte pas d'espace :

<ParamName>=<Value>

si <Value> comporte des espaces, la syntaxe est la suivante :

<ParamName>="<Value>"

Dans chaque ligne de tâche, ces instructions s'appliquent :

  • Le paramètre time ou l'un des paramètres d'intervalle (secondsminutes ou hours) est atteint.
  • Insérez un caractère d'échappement devant les caractères spéciaux à l'aide de \ (slash inversé).

Paramètres de ligne de tâche

Les paramètres de ligne de tâche suivants sont acceptés par le planificateur.

                                                       
SyntaxeDescription
daysOfWeek: <string, optional, {enum-any:sun|mon|tue|wed|thu|fri|sat|all}>Jours de la semaine pour exécuter une tâche. La valeur par défaut est all.
deleteOnFinish: <bool, optional>Supprimez la tâche une fois qu'elle est bien terminée.
hours: <uint32, optional, {range:1 to 8760}>Nombre d'heures entre les exécutions.
logOutput: <string, optional>Sort la réponse à consigner avec le nom de module spécifié.
minutes: <uint32, optional, {range:1 to 525948}>Nombre de minutes entre les exécutions.
msg: <string>Message pour envoyer le nœud.
params: <string, optional>Paramètres du message.
pathname: <string>Chemin du nœud qui reçoit le message.
seconds: <uint32, optional, {range:1 to 31556926}>Nombre de secondes entre les exécutions.
time: <string>Heure de l'exécution au format HH::MM:SS (heure locale de ce serveur).
timesToRun: <uint32, optional>Nombre d'exécutions depuis le début du service, 0 = illimité (par défaut).

Messages

Les éléments ci-dessous sont les chaînes de message à utiliser dans le paramètre msg du planificateur de tâche.

                                 
MessageDescription
addInterAjoutez une tâche à exécuter à intervalles réguliers. Par exemple, ce message exécute la commande /index save toutes les 6 heures :

addInter hours=6 pathname=/index msg=save
addMil
 
Ajoutez une tâche à exécuter à une heure spécifique de la journée ou des journées de la semaine. Par exemple, ce message exécute la commande /index save à 1 heure du matin tous les jours ouvrables :
addMil time= 01:00:00 pathname=/index
msg=save daysOfWeek=mon,tue,wed,thu,fri
delSchedSupprime une tâche planifiée existante. Le paramètre id de la tâche doit être récupéré à partir du message d'impression.
printImprime toutes les tâches planifiées.
replaceAttribuez toutes les tâches planifiées dans un message, en supprimant toutes les tâches existantes.
sauvegardeIndiquer un nœud à enregistrer

Exemple de ligne de tâche

L'exemple de ligne de tâche suivant dans le fichier du planificateur télécharge le fichier du package feeds (feeds.zip) sur le Decoder sélectionné toutes les 120 minutes à partir du serveur hôte feeds :

minutes=120 pathname=/parsers msg=feed params="type\=wget file\=http://feedshost/nwlive/feeds.zip"

MODIFIER UN FICHIER D'INDEX DE SERVICE

Cette rubrique fournit des informations et des instructions importantes pour la configuration des fichiers d'index personnalisés relatifs aux services, qui sont modifiables dans la vue Configuration des services > onglet Fichiers.

Le fichier d'index, associé aux autres fichiers de configuration, contrôle le fonctionnement de chaque service Core. L'accès au fichier d'index dans la vue Configuration des services dans NetWitness Suite ouvre le fichier dans un éditeur de texte, où vous pouvez modifier le fichier.

Remarque : Seuls les administrateurs avec une compréhension approfondie et complète de la configuration des services Core sont qualifiés pour modifier un fichier d'index, qui est l'un des fichiers de configuration de base pour le service Appliance. Les modifications apportées doivent être cohérentes dans tous les services de base. Des entrées non valides ou un fichier mal configuré peuvent empêcher le démarrage du système et nécessiter l'assistance du Support RSA pour rétablir l'état de fonctionnement du système.

Voici les fichiers d'index : 

  • index-broker.xml et index-brokercustom.xml
  • index-concentrator.xml et index-concentrator‐custom.xml
  • index-decoder.xml et index-decodercustom.xml
  • index-logdecoder.xml et index-logdecodercustom.xml
  • index-archiver.xml et index-archiver‐custom.xml
  • index-workbench.xml et index-workbench‐custom.xml

Fichiers d'index et fichiers d'index personnalisés

Tous les changements d'index spécifiques au client sont apportés dans index-<service>-custom.xml. Ce fichier remplace tous les paramètres de index-<service>.xml, qui est exclusivement contrôlé par RSA. 

Remarque : Les clients utilisant les versions antérieures à la version 10.1 de NetWitness Suite devaient personnaliser les fichiers d'index en modifiant et enregistrant le fichier d'index. Cette méthode reposait sur NetWitness Suite pour la création d'une sauvegarde du fichier d'index en cours lors du redémarrage du service. Grâce à ce processus, le fichier en cours est remplacé et un fichier de sauvegarde est créé. L'option de barre d'outils fournit un moyen de revenir à une version de sauvegarde du fichier d'index.
Lors des mises à niveau logicielles, le fichier index-<service>.xml n'est pas conservé, car il est remplacé par les modifications apportées par l'équipe chargée de la gestion du contenu RSA. Toutefois, une sauvegarde est effectuée dans le même répertoire et nommée index-<service>.xml.rpm_pre_save. Le fichier index-<service>.xml.rpm_pre_save peut être référencé si nécessaire pour créer le fichier index-<service>-custom.xml spécifique au client, ce qui ne doit être effectué qu'une seule fois. Par la suite, le nouveau système a permis à RSA d'effectuer des changements d'index sans modifier les changements personnalisés existants. 

Le fichier d'index personnalisé, index-<service>‐custom.xml, permet de créer des définitions ou remplacements personnalisés de vos propres clés de langue qui ne sont pas écrasées lors du processus de mise à niveau.

  • Les clés qui sont définies dans index-<service>‐custom.xml remplacent les définitions trouvées dans index-<service>.xml.
  • Les clés qui sont ajoutées à index-<service>custom.xml et ne figurant pas dans index‐<service>.xml sont ajoutées à la langue en tant que nouvelle clé.

Voici les quelques applications communes pour la modification du fichier d'index :

  • Ajouter de nouvelles clés méta personnalisées pour ajouter de nouveaux champs à l'interface utilisateur NetWitness Suite.
  • Configurer les clés méta protégées dans le cadre d'une solution de protection des données comme décrit dans le guide Gestion de la confidentialité des données.
  • Ajuster les performances des requêtes de la base de données NetWitness Suite Core comme décrit dans le Guide d'optimisation de la base de données NetWitness Suite Core.

Remarque : Pour les versions NetWitness Suite 10.1 et supérieures, il n'est pas nécessaire de modifier le fichier d'index personnalisé du Broker, sauf pour les rôles système ou scénarios de déploiement pour la confidentialité des données. Le Broker fusionne automatiquement les clés de tous les services agrégés pour créer une langue détaillée. La langue de base définie dans les fichiers index‐broker.xml et indexbroker-custom.xml est utilisée s'il n'y a aucun service ou si tous les services sont hors ligne.

Attention : Ne définissez jamais le niveau d'index sur IndexKeys ou IndexValues pour un Decoder si vous disposez d'un Concentrator ou d'un Archiver effectuant l'agrégation du Decoder. La taille de partition d'index est trop petite pour prendre en charge une indexation au-delà de la valeur par défaut de clé de méta time par défaut.

ACTIVER LE SERVICE DE RAPPORT SUR LES INCIDENTS

Le service de rapport sur les incidents est un service facultatif pour les services NetWitness Suite. Lorsqu'il est activé pour un des services de base, le service de rapport sur les incidents génère automatiquement un package d'informations à utiliser pour le diagnostic et la résolution du problème à l'origine de la défaillance du service. Le package est automatiquement envoyé à RSA pour analyse. Les résultats sont transférés au Support RSA pour toute autre action.

Le package d'informations envoyé à RSA ne contient pas les données capturées. Ce package d'informations comprend les informations suivantes :

  • Trace de pile
  • Logs
  • Paramètres de configuration
  • Version du logiciel
  • Informations sur le CPU
  • Fichiers RPM installés
  • Géométrie du disque

L'analyse des incidents par le service de rapport sur les incidents peut être activée pour n'importe quel produit Core. 

Fichier crashreporter.cfg

L'un des fichiers pouvant être modifiés dans la vue Configuration des services > onglet Fichiers est crashreporter.cfg, le fichier de configuration du serveur client pour le service de rapport sur les incidents.

Ce fichier est utilisé par le script qui vérifie, met à jour et crée des rapports d'incidents rencontrés sur l'hôte. Les services Decoder, Concentrator, hôtes et Broker peuvent être inclus dans la liste des produits à surveiller.

Ce tableau répertorie les paramètres du fichier crashreporter.cfg.

                                                                                                           
ParamètreDescription
applicationlist=decoder, concentrator, hostDéfinit la liste des produits à surveiller.
sitedir=/var/crashreporterEmplacement du répertoire du site pour le rapport.
webdir=/usr/share/crashreporter/WebEmplacement du répertoire Web.
devdir=/var/crashreporter/DevEmplacement du répertoire de développement.
datadir=/var/crashreporter/dataEmplacement du répertoire de stockage des fichiers de données.
perldir=/usr/share/crashreporter/perlEmplacement des fichiers perl.
bindir=/usr/share/crashreporter/binEmplacement des fichiers exécutables binaires.
libdir=/usr/share/crashreporter/libEmplacement des bibliothèques binaires.
cfgdir=/etc/crashreporterEmplacement des fichiers de configuration.
logdir=/var/log/crashreporterEmplacement des fichiers log.
scriptdir=/usr/share/crashreporter/scriptsEmplacement du répertoire contenant les scripts.
workdir=/var/crashreporter/workEmplacement du répertoire de travail des processus.
sqldir=/var/crashreporter/sqlEmplacement des fichiers SQL créés.
reportdir=/var/crashreporter/reportsEmplacement des rapports temporaires créés.
packagedir=/var/crashreporter/packagesEmplacement des fichiers de package créés.
gdbconfig=/etc/crashreporter/crashreporter.gdbEmplacement du fichier de configuration gdb.
corewaittime=30Définit le nombre de secondes d'attente après avoir trouvé un fichier mémoire afin de déterminer si le fichier mémoire est toujours accessible en écriture.
cyclewaittime=10Définit le nombre de minutes d'attente entre les cycles de recherche.
deletecores=1Indique si les fichiers mémoire doivent être supprimés après le rapport.

0 = No
1 = Yes

REMARQUE : Jusqu'à la suppression du fichier mémoire, chaque redémarrage du service de rapport sur les incidents est signalé.
deletereportdir=1Indique si le répertoire des rapports doit être supprimé après le rapport. Utile pour afficher les rapports sur les fichiers mémoire.

0 = No
1 = Yes

REMARQUE : S'il n'est pas supprimé, le répertoire sera inclus dans chaque package ultérieur.
debug=1Indique si les messages de débogage sont activés ou désactivés dans la sortie de consignation crashreporter.

0 = Non
1 = Oui
posturl=https://www.netwitnesslive.com/crash...ter/submit.phpDéfinit l'URL de publication sur le serveur Web.
postpackages=0Indique si les packages doivent être publiés sur le serveur Web.

0 = Non
1 = Oui
deletepackages=1Indique si les packages doivent être supprimés après avoir été publiés sur le serveur Web.

0 = Non
1 = Oui

Configurer le service de rapport sur les incidents

Pour configurer le service de rapport sur les incidents :

  1. Sélectionnez Admin > Services.
  2. Sélectionnez un service, puis cliquez sur The Actions icon > Vue > Config.
  3. Sélectionnez l'onglet Fichiers.
  4. Modifiez le fichier crashreporter.cfg.
  5. Cliquez sur Enregistrer.
  6. Pour afficher la vue Système de services, sélectionnez Config > Système.
  7. Pour redémarrer le service, cliquez sur The shutdown service icon.
    Le service s'arrête et redémarre.

Démarrage et arrêt du service de rapport sur les incidents

Pour démarrer le service de rapport sur les incidents :

  1. Sélectionnez ADMIN > Services.
  2. Sélectionnez un service, puis cliquez sur The Actions icon > Vue > Système.
  1. Dans la barre d'outils, cliquez sur Host Tasks.
    La liste des tâches de l'hôte s'affiche.
  2. Dans la liste déroulante Tâche, sélectionnez Démarrer le service.
  3. Dans le champ Arguments, saisissez crashreporter, puis cliquez sur Exécuter.
    This is an example of the Host Task List dialog for this procedure.

Le service de rapport sur les incidents est activé et reste actif jusqu'à ce que vous l'arrêtiez.

Pour arrêter le service de rapport sur les incidents, sélectionnez Arrêter le service dans la liste déroulante Tâche.

MAINTENIR LES FICHIERS DE MAPPAGE DES TABLES

Le fichier de mappage de tables fourni par RSA, table-map.xml, est une composante importante du Log Decoder. Il s'agit d'un fichier de définition de métadonnées qui mappe également les clés utilisées dans un analyseur de log aux clés de la base de métadonnées. 

Ne modifiez pas le fichier table-map.xml. Si vous souhaitez apporter des modifications à ce fichier, faites-les dans le fichier table-map-custom.xml. La dernière version du fichier table-map.xml est disponible sur Live pour que RSA en effectue la mise à jour si nécessaire. Si vous modifiez le fichier table-map.xml, les modifications peuvent être écrasées lors d'une mise à niveau du service ou du contenu.

Dans table-map.xml, certaines clés méta sont définies sur Transient et certaines sont définies sur None. Pour stocker et indexer une clé méta spécifique, la clé doit être définie sur None. Pour apporter des modifications au mappage, vous devez créer une copie du fichier nommé table-map-custom.xml sur le Log Decoder et définir les clés méta sur None.

Pour l'indexation des clés meta :

  • Lorsqu'une clé est définie sur None au sein du fichier table-map.xml dans le Log Decoder, elle est indexée.
  • Lorsqu'une clé est définie sur Transient au sein du fichier table-map.xml dans le Log Decoder, elle n'est pas indexée. Pour indexer la clé, copiez l'entrée dans le fichier table-map-custom.xml et remplacez le mot clé flags="Transient" par flags="None".
  • Si le fichier table-map.xml ne comporte aucune clé, ajoutez une entrée dans le fichier table-map-custom.xml dans le Log Decoder.

Attention : Ne remplacez pas le fichier table-map.xml car une mise à niveau pourrait l'écraser. Ajoutez tous les changements que vous souhaitez apporter au fichier table-map-custom.xml .

Conditions préalables

Si vous n'avez pas de fichier table-map-custom.xml dans le Log Decoder, créez une copie de table-map.xml et renommez-la table-map-custom.xml.

Procédure

Pour vérifier et mettre à jour le fichier de mappage de tables :

  1. Accédez à ADMIN > Services.
  2. Dans la grille Services, sélectionnez un Log Decoder, puis cliquez sur The Actions icon > Vue > Configuration.
  3. Cliquez sur l'onglet Fichiers, puis sélectionnez le fichier table-map.xml.
    This is an example of the Files tab with the relevant line highlighted.
  4. Vérifiez que les mots-clés des balises sont définis correctement sur Transient ou None.
  5. Si vous avez besoin de modifier une entrée, ne modifiez pas le fichier table-map.xml . Au lieu de cela, copiez l'entrée, sélectionnez le fichier table-map-custom.xml, recherchez l'entrée dans le fichier table-map-custom.xml et remplacez le mot-clé de balise Transient par None.
    Par exemple, l'entrée suivante pour la clé méta hardware.id dans le fichier table-map.xml fichier n'est pas indexé et le mot-clé de balise s'affiche comme Transient:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="Transient"/>
    Pour indexer la clé méta hardware.id, remplacez le mot-clé de balise Transient par None dans le table-map-custom.xml:
    <mapping envisionName="hardware_id" nwName="hardware.id" flags="None"/>
  6. Si le fichier table-map.xml ne contient pas d'entrée, ajoutez-en une dans le fichier table-map-custom.xml.
  7. Après avoir effectué vos modifications dans le fichier table-map-custom.xml, cliquez sur Appliquer.

Attention : Avant de modifier les fichiers de mappage de tables, examinez attentivement l'effet de la modification de l'index suite au remplacement de Transient en None, car il peut y avoir un impact sur la capacité de stockage disponible et les performances du Log Decoder. C'est pour cette raison que seules certaines clés méta sont pré-indexées. Utilisez le fichier table-map-custom.xml pour différents exemples d'utilisation.

Modifier ou supprimer un service

Vous pouvez modifier les paramètres d'un service, comme le changement de nom d'hôte ou de numéro de port, ou supprimer un service dont vous n'avez plus l'utilité.

Chacune des procédures suivantes démarre dans la vue Services.

Pour accéder à la vue Services, dans NetWitness Suite, accédez à ADMIN > Services.

This is the Services view.

Procédures

MODIFIER UN SERVICE

  1. Dans la vue Services, sélectionnez un service et cliquez sur The Edit icon ou The Actions drop-down menu> Modifier.
    La boîte de dialogue Modifier le service s'affiche. Elle n'affiche que les champs applicables au service sélectionné.
    This is the Edit Service dialog
  2. Modifiez les détails du service en modifiant l'un des champs suivants :
    • Nom
    • Port - Chaque service principal dispose de deux ports, SSL et non SSL. Pour les connexions approuvées, vous devez utiliser le port SSL.
    • SSL - Pour les connexions approuvées, vous devez utiliser SSL. 
    • Nom d'utilisateur et Mot de passe - Utilisez ces informations d'identification pour tester la connexion à un service.
      1. Si vous utilisez une connexion approuvée, supprimez le nom d'utilisateur.
        Si ce n'est pas le cas, saisissez un nom d'utilisateur et un mot de passe.
      2. Cliquez sur Tester la connexion.
  3. (Facultatif) Si le service nécessite une licence, sélectionnez Autoriser le service. Cette option apparaît uniquement pour les services qui nécessitent une licence.
  4. Cliquez sur Enregistrer.

Les modifications prennent effet immédiatement.

SUPPRIMER UN SERVICE

  1. Dans la vue Services, sélectionnez un ou plusieurs services et cliquez sur The Delete icon ou The actions drop-down menu > Supprimer.
  2. Une boîte de dialogue demande confirmation. Pour supprimer le service, cliquez sur Oui.

Le service supprimé n'est plus disponible pour les modules NetWitness Suite. 

Explorer et modifier l'arborescence des propriétés du service

Vous disposez d'un accès avancé et du contrôle des fonctions du service dans la vue Explorer des services, qui se compose de deux parties. La liste de nœuds affiche la fonctionnalité du service dans une arborescence de dossiers. Le panneau Surveiller affiche les propriétés du dossier ou du fichier sélectionné dans la liste des nœuds.

Chacune des procédures suivantes démarre dans la vue Explorer.

Pour accéder à la vue Explorer :

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
  2. Sélectionnez un service et sélectionnez The Actions drop-down menu  >Vue > Explorer.
    La vue Explorer s'affiche. La liste des nœuds se trouve sur la gauche et le panneau Surveiller sur la droite.
    This is an example of the Explore view

Procédures

AFFICHER OU MODIFIER UNE PROPRIÉTÉ DE SERVICE

Pour afficher une propriété de service :

  1. Cliquez avec le bouton droit de la souris sur un fichier dans la liste de nœuds ou dans le panneau Surveiller.
  2. Cliquez sur Propriétés.

Pour modifier la valeur d'une propriété de service :

  1. Dans le panneau Surveiller, sélectionnez une valeur de propriété modifiable.
  2. Saisissez une nouvelle valeur. 

ENVOYER UN MESSAGE À UN NŒUD

  1. Dans la boîte de dialogue Propriétés, sélectionnez un type de message. Les options varient selon le fichier sélectionné dans la liste des nœuds.
    Une description du type de message sélectionné s'affiche dans le champ Aide relative aux messages.
  2. (Facultatif) Si le message l'indique, saisissez les Paramètres
  3. Cliquez sur Envoyer.
    La valeur ou le format s'affiche dans le champ Sortie de réponse.

Supprimer la connexion à un service

Dans la vue Système de services, vous pouvez afficher les sessions en cours d'exécution sur un service. Dans la liste des sessions, vous pouvez mettre fin à la session et aux requêtes actives d'une session.

Mettre fin à une session sur un service

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
    La vue Services ADMIN s'affiche.
  2. Sélectionnez un service et cliquez sur The Actions icon   > Vue > Système.
    La vue Système de services s'affiche.
    This is an example of the Service System view
  3. Dans la grille Informations de session située dans la partie inférieure, cliquez sur un numéro de session.
    La boîte de dialogue suivante s'affiche.
    This is the Kill Session confirmation dialog
  4. Cliquez sur Yes.

La session se termine et est supprimée de la grille.

Mettre fin à une requête active dans une session

  1. Faites défiler jusqu'à la grille Sessions.
  2. Dans la colonne Requêtes actives, cliquez sur un nombre de requêtes actives différent de zéro pour une session. Vous ne pouvez pas cliquer sur un nombre de requêtes actives égal à 0.
    La boîte de dialogue Requêtes actives s'affiche.
    This is an example of the Active Queries dialog
  3. Sélectionnez une requête et cliquez sur Annuler la requête.
    La requête s'arrête et la colonne Requêtes actives est mise à jour.

Rechercher des services

Vous pouvez rechercher des services dans la liste des services de la vue Services. La vue Services permet de filtrer rapidement la liste des services par nom, hôte et type. Vous pouvez utiliser le menu déroulant Filtrer et le champ Filtre séparément ou simultanément pour filtrer la vue Services. 

En plus de localiser les services d'un hôte dans la vue Services, vous pouvez aussi trouver rapidement les services qui s'exécutent sur un hôte dans la vue Hôtes.

Rechercher un service

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
  2. Dans la barre d'outils du panneau Services, saisissez un nom de service ou un nom d'hôte dans le champ Filtre.
    This is the Filter field.

    Le panneau Service répertorie les services correspondant aux noms saisis dans le champ Filtre. L'exemple suivant illustre les résultats de recherche qui apparaissent lorsque vous commencez à saisir le mot log dans le champ de filtre.
    This is the Services panel with two results matching a search for log

Filtrer les services par type

  1. Dans NetWitness Suite, accédez à ADMIN > Services.
  2. Dans la vue Services, cliquez sur The Filter icon, puis sélectionnez le type de service que vous souhaitez faire apparaître dans cette vue.


    Les types de services sélectionnés apparaissent alors dans la vue Services. L'exemple suivant affiche la vue Services filtrée sur Concentrator et Log Decoder.

    This is the Services panel filtered for Concentrator and Decoder.

Trouver les services sur un hôte

En plus de localiser les services d'un hôte dans la vue Services, vous pouvez aussi trouver rapidement les services qui s'exécutent sur un hôte dans la vue Hôtes. 

  1. Dans NetWitness Suite, accédez à ADMIN > Hôtes.
  2. Dans la vue Hôtes, sélectionnez un hôte, puis cliquez sur la zone contenant un nombre (nombre de services) dans la colonne Services.
    La liste des services installés sur l'hôte sélectionné s'affiche.

Dans l'exemple suivant, trois services sont répertoriés pour l'hôte sélectionné si vous cliquez sur la zone contenant le nombre 3.
The is an example of the dialog that appears when you click the service count

  1. Vous pouvez cliquer sur les liens associés aux services pour les consulter dans la vue Services.

Démarrer, arrêter ou redémarrer un service

Ces procédures s'appliquent uniquement aux services principaux.

Chacune des procédures suivantes démarre dans la vue Services. Dans NetWitness Suite, accédez à ADMIN > Services.

Démarrer un service

Sélectionnez un service et cliquez sur The Actions drop-down menu > Démarrer.

Arrêter un service

Lorsque vous arrêtez un service, tous ses processus s'arrêtent et les utilisateurs actifs sont déconnectés de ce service.

Pour arrêter un service :

  1. Sélectionnez un service et cliquez sur The Actions drop-down menu > Arrêter.
  2. Une boîte de dialogue demande confirmation. Pour arrêter le service, cliquez sur Oui.

Redémarrer un service

Vous devez parfois redémarrer un service pour que les modifications soient appliquées. Lorsque vous modifiez un paramètre qui nécessite un redémarrage, NetWitness Suite affiche un message.

Pour redémarrer un service :

  1. Sélectionnez un service et cliquez sur The Actions drop-down menu > Redémarrer.
  2. Une boîte de dialogue demande confirmation. Pour arrêter le service, cliquez sur Oui.

Le service s'arrête et redémarre ensuite automatiquement.

Voir les détails d'un service

Vous pouvez afficher et modifier des informations sur les services à l'aide des options du menu Affichage d'un service.
This is the service View menu

Objectif de chaque vue Service

Chaque vue affiche une portion fonctionnelle d'un service et est décrite en détail dans sa propre section :

  • La vue Système affiche un résumé du service, le service de l'appliance, l'utilisateur de l'hôte, la licence et les informations de session.
  • La vue Statistiques des services donne un moyen de surveiller les opérations et l'état du service. 
  • La vue Configuration des services permet de configurer tous les aspects d'un service. 
  • La vue Explorer les services permet d'afficher et de modifier les configurations des hôtes et des services.
  • Le panneau Consignation système affiche les logs du service dans lesquels vous pouvez effectuer une recherche. 
  • La vue Sécurité des services est un moyen d'ajouter des comptes utilisateur Security Analytics Core pour l'agrégation, les utilisateurs clients thick et les utilisateurs de l'API REST.

Accéder à la vue Service

Pour accéder à la vue d'un service :

  1. Dans NetWitness Suite, accédez à ADMIN > Services
  2. Sélectionnez un service, puis cliquez sur The Actions menu > Affichage.

    Le menu Affichage s'affiche.

    This is the View menu

  3. Parmi les options situées sur la gauche, sélectionnez une vue.

    Il s'agit d'une vue du système pour un Broker.

    This is an example of the System view

  4. Utilisez la barre d'outils pour naviguer :

    This is the service toolbar

    1. Cliquez sur Modifier le service pour sélectionner un autre service.
      La boîte de dialogue Administrer le service s'affiche.
    2. Cochez la case à gauche du service que vous souhaitez sélectionner.
    3. Sélectionnez la vue souhaitée pour le service que vous avez sélectionné dans le menu déroulant Vue.

      This is the View menu

      La nouvelle vue (par exemple, Statistiques) s'affiche pour le service que vous avez sélectionné.

Next Topic:Références
You are here
Table of Contents > Procédures des hôtes et des services

Attachments

    Outcomes